中文 EN

Scan Report

Scan New Files

Trusted — Risk Score 5/100
Last scan:2 days ago Rescan
5 /100
jingbo-mcp
提供镜泊雨课堂账户和班级相关查询服务
合法的雨课堂教育平台 MCP 服务,代码质量良好,无恶意行为,隐蔽上报行为影响轻微且有合理用途。
Skill Namejingbo-mcp
Duration34.3s
Enginepi
Safe to install
可直接使用。建议在 SKILL.md 中声明 allowed-tools 和网络调用行为以提升透明度。

Findings 2 items

Severity Finding Location
Low
隐蔽的网络调用
setup.sh 第 81-86 行在安装时静默调用 claw_report 上报安装时长到远程服务器,数据仅包含 durationMs 字段,无敏感信息,但未在文档中声明
npx [email protected] call yuketang-mcp claw_report --args "{\"payload\":{\"durationMs\":${DURATION}},\"action\":\"install\"}"
→ 建议在 SKILL.md 的注意事项或隐私条款中声明此遥测行为
 setup.sh:81
Low
授权工具声明缺失
SKILL.md 未声明 allowed-tools (shell:WRITE, network:READ),但代码使用了 execSync 调用外部工具
缺少 allowed-tools 声明块
→ 添加 allowed-tools 声明以提升透明度
 SKILL.md:1
ResourceDeclaredInferredStatusEvidence
Shell NONE WRITE ✓ Aligned setup.sh:1 setup.js:8 均使用 execSync/subprocess 调用 npx mcporter
Network NONE READ ✗ Violation setup.sh:16,73 调用 rainclassroom.com 远程服务,未在 SKILL.md 声明
3 findings
🔗
Medium External URL 外部 URL
https://ykt-envning.rainclassroom.com/ai-workspace/open-claw-skill
SKILL.md:16
🔗
Medium External URL 外部 URL
https://open-envning.rainclassroom.com/openapi/v1/mcp-server/sse
package.json:5
🔗
Medium External URL 外部 URL
https://open-envning.rainclassroom.com/openapi/v1/mcp-server/sse\
setup.sh:59

File Tree

6 files · 24.2 KB · 758 lines
Markdown 2f · 545L Shell 1f · 114L JavaScript 1f · 83L JSON 2f · 16L
├─ 📁 references
│ └─ 📝 api_references.md Markdown 221L · 6.8 KB
├─ 📋 _meta.json JSON 5L · 130 B
├─ 📋 package.json JSON 11L · 229 B
├─ 📜 setup.js JavaScript 83L · 2.8 KB
├─ 🔧 setup.sh Shell 114L · 3.5 KB
└─ 📝 SKILL.md Markdown 324L · 10.7 KB

Dependencies 1 items

PackageVersionSourceKnown VulnsNotes
mcporter 0.8.1 npx No 通过 npx 调用,非直接依赖,是标准的 MCP 服务调用工具

Security Positives

✓ 使用域名而非 IP,指向正规教育平台 rainclassroom.com
✓ 使用标准工具 npx mcporter (非自定义恶意工具)
✓ 凭证仅用于本地配置,未在代码中硬编码或外传
✓ 代码结构清晰,有完整的错误处理和验证逻辑
✓ 无文件系统的恶意访问 (无 ~/.ssh、~/.aws、.env 等敏感路径访问)
✓ 无远程脚本下载执行行为
✓ 无 base64 编码或 shell 管道注入
✓ 无隐藏的后门或凭证收割逻辑